一年之計在于春，春季是一個充滿詩情畫意的季節(jié)。三月的北京，陽光柔和，花草灌木都泛出綠意，玉蘭、迎春、櫻花也都已悄然綻放，讓人賞心悅目，到處充滿春天的氣息。

2016年3月24日，陽光明媚的午后，一群人圍坐在位于北京市海淀區(qū)中關村南路的駿馬國際酒店三層咖啡廳，好像在密謀著什么，爭論著什么，說著“安全威脅”、“安全防御”、“企業(yè)安全”……

[[164486]]

他們是誰?他們來自哪里?他們在做什么?

他們是一群關注網(wǎng)絡信息安全，來自IT行業(yè)巨頭IBM，以及運營商、銀行等傳統(tǒng)行業(yè)的安全專家，他們因 51CSO俱樂部而聚集到這里。這10位來自51CSO俱樂部的嘉賓,在咖啡廳里，針對“2016年的安全路該怎么走?”這一主題進行了深入分享交流。

2016年的安全威脅形態(tài)和技術

活動剛剛開始，針對2016年安全威脅及技術話題，各位安全專家就認真的分享交流起來。一時間，激情四起，火花飛濺。

來自IDC的王培老師，曾多次參加安全會議RSA大會，于是談到安全趨勢，他提到了剛剛結束的2016年美國RSA大會。并表示相比以前幾屆大會， 今年的新技術相對較少，今年關注最多的是物聯(lián)網(wǎng)安全，另外關注比較多的就是工控安全。從每年的十大初創(chuàng)公司展示的技術來看，今年也區(qū)別于往年，往年關注度比較的趨勢技術，會有過半的初創(chuàng)公司關注，而今年并沒有出現(xiàn)這種情況，方向模糊。綜合觀察來看，國際上將主要在物聯(lián)網(wǎng)安全，態(tài)勢感知，響應自動化幾個方向 比較關注。

[[164487]]

王培

針對互聯(lián)網(wǎng)金融安全趨勢，陳云開老師談到，安全威脅日益復雜多樣，銀行重點安全防御方向也隨之轉變。最初的安全防御只是針對防病毒，目前的防御方式更加深入，包括終端安全，數(shù)據(jù)安全，交易安全。特別是針對數(shù)據(jù)防泄密方面加大了力度。原來可以通過郵件發(fā)送的絕密信息，目前必須需要通過安全組件進行推 送，保證信息安全。此外，銀行也更加的注重交易的安全。

此外，郭亮老師認為，在2016年及未來，在態(tài)勢感知、云安全以及關于網(wǎng)絡安全的教育方面可能會發(fā)生重大變化。他表示：“2016年，可視化的應用 將可能提升感知能力;在教育行業(yè)，隨著網(wǎng)絡空間安全成為一級學科，學校將會為社會輸送更多的安全人才;在云安全方面，未來可能會進行行業(yè)領域的分化。”除 上面所述，他還提到了芯片的安全問題，目前芯片進口量頗大，作為最底層的硬件，其安全問題在未來應需要多多關注。

如何讓你的安全防御形同虛設

在經(jīng)過激烈的安全趨勢討論之后，我們迎來了干貨時間，高級工程師陳小兵老師帶來了關于《如何讓你的安全防御形同虛設》精彩演講。他從事網(wǎng)絡安全工作已有15年，擁有豐富的滲透經(jīng)驗，主要研究國內外新漏洞，Web滲透技術，APK安全等技術。

[[164488]]

陳小兵

他首先介紹了攻擊的因果，攻擊者之所以攻擊有很多原因，或是看中了數(shù)據(jù)，或是想要證明自身的價值，或是盜取源代碼等技術資料，亦或是僅僅是個惡作劇。

陳老師表示，目前架構型0day威脅巨大，Struts S-16和Struts S-17等遠程溢出漏洞對目標對象可謂是所向披靡!架構型站點一般屬于大公司，數(shù)據(jù)商業(yè)價值巨大，功能復雜，需要高級語言支持，而且漏洞修補較為困難。攻擊者可以通過多個入口對目標對象進行攻擊，例如：Ctrix滲透、VPN滲透、無線網(wǎng)絡滲透、Web服務器滲透、員工及手機滲透。針對特定的目標，攻擊者 會進行有針對性的攻擊，例如發(fā)起APT攻擊，或者仿冒公司進行跨站攻擊等等。最后，陳老師提醒大公司一定要做好安全防護工作。

網(wǎng)絡金融安全

此次51CSO俱樂部邀請的嘉賓很多都與金融有關，那么關于網(wǎng)絡金融安全這個話題，我們又怎么會錯過。對網(wǎng)絡金融安全有著豐富經(jīng)驗的網(wǎng)絡安全專家曹岳，從監(jiān)測數(shù)據(jù)出發(fā)與大家分析了互聯(lián)網(wǎng)金融的安全態(tài)勢，并分享了涉及DDoS攻擊溯源、大規(guī)模網(wǎng)銀釣魚等攻擊的幾大防御案例。

據(jù)曹老師介紹：從銀行抽查情況來看，安全性整體較好。

銀行認證體系基本完善，技術應用世界領先，系統(tǒng)防護體系趨于成熟，并且風險控制體系逐漸形成，安全防護維度多，管理層安全意識高，政策監(jiān)管也在加強。但是，從高強度滲透測試來看，存在大規(guī)模網(wǎng)絡攻擊風險。從國家信息安全戰(zhàn)略來看，挑戰(zhàn)非常嚴峻。例如：國產(chǎn)率低，自主可控壓力大;系統(tǒng)復雜，防護滯后，科技風險集中;黑色產(chǎn)業(yè)趨利化、集團化、跨境化;另外，相關法律法規(guī)、信用體系仍待完善。

僅靠多方防御不夠 還需分析數(shù)據(jù)情報共享

最后，來自IBM研究院的安全專家黃鶴遠老師針對企業(yè)安全管理問題，與大家一起分享了IBM在這個領域所做的事兒。

[[164489]]

IBM研究院安全專家 黃鶴遠

黃老師表示，在互聯(lián)網(wǎng)+時代，不斷有企業(yè)與組織遭到攻擊。

面對內鬼，云安全問題，端點與數(shù)據(jù)安全威脅，DDoS攻擊，只靠多方防守是不夠的。還需要依靠大量的數(shù)據(jù)進行整合分析，找到威脅，進一步解決威脅。以零售業(yè)為例，其最大的困擾是如何防范高級威脅，各個角度都需要考慮。針對APT攻擊防范，需要怎樣去做，面對木馬的傳播，又該如何去防范。針對銀行業(yè)，最重要的是數(shù)據(jù)，驚天案件通常是通過內鬼造成，內鬼有權限做很多的事情，通常做了不該做的事情。 雖然我們需要一個整合的免疫系統(tǒng)，但是不同的行業(yè)面臨不同的困擾，有不同的需求。

如何有效的管理企業(yè)，加強防護能力?IBM X-FORCE每年會發(fā)布很多安全趨勢分析報告，有針對全球的，有針對國內的，不同時間段的安全報告。但是，IBM X-FORCE的視角也是有限的。因此，IBM允許第三方將安全情報上傳至X-Force Exchange這一安全情報開放平臺與大家分享。IBM Security APP Exchange作為一個安全能力開放平臺允許第三方從數(shù)據(jù)，分析，可視化，工作流程等多角度進行擴展，整合其特有的安全能力，幫助客戶更全面地防范安全威脅。

寫在最后

51CSO俱樂部第一期活動在我們的戀戀不舍中結束了，各位安全專家根據(jù)自身的所見、所聞、所感、所知，圍繞我們的活動主題進行了深入的交流分享。雖然活動已經(jīng)結束，相信大家關于安全的思考還在繼續(xù)。讓我們一起期待下一次活動的到來!